{"id":1114,"date":"2026-06-08T11:35:51","date_gmt":"2026-06-08T11:35:51","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/08\/verdantbamboo-implementa-la-variante-bsd-de-brickstorm-en-dispositivos-linux-cyberdefensa-mx\/"},"modified":"2026-06-08T11:35:51","modified_gmt":"2026-06-08T11:35:51","slug":"verdantbamboo-implementa-la-variante-bsd-de-brickstorm-en-dispositivos-linux-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/08\/verdantbamboo-implementa-la-variante-bsd-de-brickstorm-en-dispositivos-linux-cyberdefensa-mx\/","title":{"rendered":"VerdantBamboo implementa la variante BSD de BRICKSTORM en dispositivos Linux \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Se ha observado que un grupo de ciberespionaje de China-nexus implementa una variante BSD de una puerta trasera conocida llamada BRICKSTORM, as\u00ed como otras dos familias de malware con nombre en c\u00f3digo PLENET (tambi\u00e9n conocido como GRIMBOLT) y AGENTPSD para apuntar a sistemas Linux.<\/p>\n

Volexity ha atribuido la actividad a un grupo de amenazas que rastrea como Verdebamb\u00fa<\/a><\/b>que seg\u00fan dijo se superpone con grupos de pirater\u00eda conocidos como Clay Typhoon (Microsoft), UNC5221 (Google) y Warp Panda (CrowdStrike).<\/p>\n

La compa\u00f1\u00eda de ciberseguridad dijo que descubri\u00f3 la intrusi\u00f3n durante un compromiso de respuesta a incidentes en septiembre de 2025, cuando se supo que el adversario hab\u00eda comprometido el sistema Egnyte Storage Sync de una v\u00edctima an\u00f3nima al explotar una falla de escalada de privilegios local para implementar BRICKSTORM. El problema se solucion\u00f3 en Storage Sync versi\u00f3n 13.13<\/a>lanzado en marzo de 2026.<\/p>\n

\u00abVerdantBamboo hab\u00eda accedido peri\u00f3dicamente al dispositivo a trav\u00e9s de direcciones IP asignadas a trav\u00e9s de la VPN SSL web de la organizaci\u00f3n v\u00edctima\u00bb, dijeron los investigadores Damien Cash, Paul Rascagneres, Steven Adair y Tom Lancaster en un informe t\u00e9cnico publicado la semana pasada.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abEl actor de amenazas utiliz\u00f3 las capacidades de proxy del malware implementadas en el sistema Storage Sync, junto con credenciales comprometidas, para acceder al entorno Microsoft 365 (M365) de la v\u00edctima\u00bb.<\/p>\n

Se eval\u00faa que estos pasos se tomaron para integrarse con el tr\u00e1fico de red leg\u00edtimo y evadir las pol\u00edticas de acceso condicional, y que el compromiso inicial ocurri\u00f3 al menos 18 meses antes.<\/p>\n

Despu\u00e9s de la reparaci\u00f3n inicial, se dice que VerdantBamboo realiz\u00f3 una devoluci\u00f3n, violando la misma organizaci\u00f3n al usar credenciales administrativas robadas para conectarse al firewall y luego abusar de ese acceso para configurar el acceso VPN SSL web al dispositivo, conectarse a otros sistemas e implementar malware adicional en un dispositivo Synology Network Attached Storage (NAS).<\/p>\n

Desde entonces, una investigaci\u00f3n m\u00e1s profunda ha descubierto que el actor de la amenaza hab\u00eda comprometido de hecho el proveedor de servicios gestionados (MSP) de la organizaci\u00f3n v\u00edctima, infectando espec\u00edficamente el firewall pfSense de su MSP con una variante BSD de BRICKSTORM casi al mismo tiempo que tambi\u00e9n se hab\u00eda violado el sistema Storage Sync de la v\u00edctima.<\/p>\n

Se cree que la v\u00edctima se vio comprometida debido a la violaci\u00f3n del MSP por parte del actor de la amenaza. Las dos familias de malware implementadas en el dispositivo NAS a trav\u00e9s de SSH son las siguientes:<\/p>\n